Der Vorsitzende des NSA-Untersuchungsausschusses, Prof. Patrick Sensburg (CDU), über Edward Snowden, das Spionagerisiko im Mittelstand und über einfache Sicherheitsvorkehrungen, die jeder Entscheider beherzigen sollte.
Seit den ersten Enthüllungen durch Edward Snowden sind anderthalb Jahre vergangen. Geht der Mittelstand inzwischen bewusster mit IT-Sicherheitsrisiken um?
Leider noch viel zu wenig, ist mein Eindruck. Mein Wahlkreis liegt im Sauerland, wo viele innovative Mittelständler beheimatet sind – doch wen ich auch frage: Die wenigsten verschlüsseln bislang ihre Firmenhandys oder ihre E-Mails oder haben ihre Geräte so konfiguriert, dass sich darauf nur Apps, die sich auf einer Whitelist befinden, installieren lassen. Dies sieht in anderen Teilen unseres Landes nicht anders aus. Dabei sind das Beispiele für günstige, leicht umzusetzende Maßnahmen, die das Schutzniveau aber bereits deutlich anheben würden …
Auf die gute alte Schreibmaschine auszuweichen, wie Sie es für den NSA-Untersuchungsausschuss ins Gespräch gebracht haben, ist also nicht nötig?
(Lacht) Nein, solch drastische Maßnahmen haben wir dann doch verworfen. Aber wir haben konsequent auf Verschlüsselung gesetzt und halten die geheimen Sitzungen in abhörsicheren Räumen ab. Für Meetings kann ich Ihren Lesern übrigens nur empfehlen: Lassen Sie Ihre Smartphones draußen. In der Luft- und Raumfahrtindustrie ist das längst gang und gäbe – und die Produkte und Zeichnungen von Mittelständlern sind schließlich nicht weniger innovativ und schützenswert.
Haben Snowdens Enthüllungen Sie eigentlich persönlich überrascht?
Ohne seinen Mut oder die Bedeutung seiner Informationen herunterzuspielen: Edward Snowdens Verdienst ist vor allem, uns das Ausmaß und die technischen Raffinessen vor Augen geführt zu haben, mit denen die Geheimdienste inzwischen vorgehen. Die Geheimdienste befreundeter Staaten, wohlgemerkt. Spähangriffe drohen natürlich auch aus Staaten wie Russland, China, Iran oder Nordkorea. Das Thema an sich war aber nicht neu – es wurde zuvor nur nicht ausreichend stark in der Öffentlichkeit diskutiert. Spioniert wurde schon immer und es wird auch immer Spionage geben – egal wie laut wir darüber zetern oder mit dem moralischen Zeigefinger wedeln. Datendiebstahl, Pishingattacken und andere Cyberangriffe machen laut Bundeskriminalamt inzwischen schon ein Drittel aller Wirtschaftskriminalität aus. Der jährliche Schaden wird auf zwölf Milliarden Euro geschätzt, die Dunkelziffer ist mit Sicherheit immens hoch. Manche gehen gar von einem Schaden von 50 Milliarden Euro aus. Ich würde wetten, dass die Mehrheit Ihrer Leser schon Angriffsziel von Viren, Trojanern oder Ausspähattacken gewesen ist – zeitweise ohne es zu wissen.
Genau wie die Bundeskanzlerin …
Die Lauschangriffe auf Angela Merkel zeigen aber auch, welch große Chancen für Deutschland in der NSA-Affäre stecken. Nehmen Sie nur das Düsseldorfer Unternehmen Secusmart, von dem die Sicherheitstechnologie für das heutige Kanzlerhandy stammt: Es war so innovativ, dassder Blackberry-Hersteller RIM es unbedingt kaufen wollte. Und Microsoft interessiert sich plötzlich für Deutschland als Standort für seine Cloudserver, weil wir den Datenschutz verteidigen. Wir brauchen dringend die nötige Infrastruktur, Elitenförderung und die gesetzlichen Rahmenbedingungen, um unsere Attraktivität als IT-Nation weiter auszubauen. Darum bin ich übrigens für das IT-Sicherheitsgesetz, so umstritten es in der Wirtschaft auch ist. Auch die EU ist nun in ihrem Vorhaben, auf der europäischen Ebene einen einheitlichen Datenschutz zu schaffen, einen Schritt weitergekommen. Mit der allgemeinen Ausrichtung des Rates vom 10. Oktober 2014 treten nun endlich die Europäischen Institutionen – Kommission, Parlament und Europäischer Rat – in die Verhandlungen zur Datenschutzgrundverordnung. Ich begrüße dies sehr, da eine solche wirklich notwendig ist. Wohler wäre mir, würde dies für die ganze Wirtschaft gelten, auch für den Mittelstand: Wir sind innovativ, wird sind erfolgreich, darum sind wir ein begehrtes Ziel für Angriffe. Deshalb sollten wir auch alles unternehmen, um uns zu schützen.
Was Vorstand, Firmeninhaber, Behördenchefs und auch Minister über die Sicherungsmöglichkeiten der heutigen IT-Infrastruktur wissen sollten:
Zwar liegen Ihre „Kronjuwelen“ (sprich: Blaupausen, Erfindungen,…) in einem „Safe“, gehen Sie aber davon aus, dass der eine oder andere Spionagedienst Zweitschlüssel besitzt.
Zwar sind Ihre Know-how-Träger verschwiegen, gehen Sie aber davon aus, dass der eine oder andere Spionagedienst mitliest, was sie auf ihrem PC so treiben.
Zwar mögen Preisinformationen und Kalkulationen Ihrer Produkte und/oder Dienstleistungen geheim sein, gehen Sie aber davon aus, dass der Stempel geheim den einen oder anderen Spionagedienst geradezu anlockt, Ihr Geheimnis zu enttarnen.
Gehen Sie davon aus, dass die IT-Industrie Sie in – falscher – Sicherheit wägen will.
Gehen Sie davon aus, dass auch persönliche Daten bei anderen Firmen und Behörden, trotz gegenteiliger Beteuerungen, von interessierter Seite abgegriffen werden (jüngstes Beispiel: bayerische Steuerbehörden – guten Morgen Herr Söder!).
Gehen Sie davon aus, dass die Sicherheitsempfehlungen sogenannter IT-Experten funktional zwar richtig und berechtigt sind, aber aus einer integrierten Gesamtsicht heraus unvollständig und lückenhaft sind.
Gehen Sie davon aus, dass die Stellen, die sich unberechtigterweise Zugang zu Ihren Daten verschafft haben, auch Fehler machen (z.B. Ihre Daten nicht sicher aufbewahren, Identitäten vertauschen, etc).
Wenn Sie sich von diesem Schock erholen wollen, empfehle ich Ihnen die NSA-Trilogy des Singer-Songwriter’s Sigismund Ruestig:
http://youtu.be/v1kEKFu6PkY
http://youtu.be/pcc6MbYyoM4
http://youtu.be/_a_hz2Uw34Y
Viel Spaß beim Anhören.